社内でウイルス蔓延中(;´Д`)原因は分からないがSymantec AntiVirus通り抜けてた
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FAUTORUN%2EAED&VSect=T
これはUSBメモリを介して感染するウイルス。2/6付けで定義ファイルが更新されたようだが、実際去年の秋くらいから存在していたウイルスで、ウイルス情報見てもオンラインゲームのパスを抜くという割りに「被害は軽度」という扱いで情報も少なく十分な対応とは言えなかった。今回のはその亜種のようで、なんとか手動で駆逐(おそらく)したので情報をまとめておく。
最初に気が付いたのは「何故かこのUSBメモリの中身が見られないんだけど」と言う事で預かったUSBメモリを自分のPCに挿した時。挿した瞬間AntiVirusが反応して、その時はAntiVirusがウイルス削除してくれて良かったーと思って安堵していたんだけど、しばらくしたら社内のあちこちから「USBメモリが開けない」という話が聞こえるようになった。
XP以降、USBメモリを挿すと自動でフォルダを開くようなダイアログが出るが、これがプログラムファイルに関連づけられてしまい*1、USBメモリの中身が見られない。この時はウインドウにアドレスバーを表示して直接叩く事で中を開いたんだけど、みんながみんなアドレスバーを表示している訳じゃないのでこれは面倒だなと思い、AntiVirusのログから本格的に調査開始。するとsystem32以下にあるmmvo.exeが悪さしている事が分かった。ただ、このウイルスの厄介な所は必ずしもそういう分かりやすい症状を起こすわけではないと言う事。実際俺のPCも駆除されたにもかかわらずシステム内にウイルスの残骸が残されていて、しかもAntiVirusの定時スキャンでも引っ掛からず、虎視眈々と再活動のタイミングを図って潜伏していた。
【ウイルスの確認法】
まずフォルダオプションでシステムファイルを含む「全てのファイルが見える」状態にする。変更したにも関わらず元に戻されている場合はこのウイルスに感染している可能性が高い。この場合はレジストリ操作で元に戻すしかない*2。
コントロールパネル>システム>システム復元、を無効にした上でセーフモードで起動、regeditで以下のレジストリを変更する。(※誤ったレジストリ操作はOS起動不能に陥る危険が伴うので個人の責任で行ってください)
(参考)不可視属性ファイルを見えるようにするためのレジストリ操作
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden"
これら3つのレジストリの値を全て1にする。
この操作を行ってregeditを閉じたら、「スタート」ボタンで右クリック、「エクスプローラ」を立ち上げて不可視属性ファイルが見えるようになった事を確認する。システム復元を無効にしてセーフモードでの作業なら間違いないと思うけど、何度やっても元に戻される事がままあるので、そういう時は何度かトライ。このウイルスはドライブルートでのダブルクリックで発症(多分)するので、確認中のファイル操作は必ずエクスプローラなどのファイラー上で行う。外付けHDD、パーティションを切っている場合はそれらのディスクのルート*3についてもチェック。
そして以下を確認。
- システム構成ユーティリティ(msconfig)のスタートアップにmmvoがある
- ドライブのルートにautorun.infがある
- インターネット一時ファイル*4にuu.rarもしくはuu.exeがある
まずmsconfigのmmvoのチェックを外す。autorun.infをメモ帳などで開くと中にはランダムな文字列が並んでいてルートにあるpq1o2ga.comを呼び出しているのでエクスプローラ上で該当するファイルを削除する。n*detect.com(nsdetect.comとか)みたいなファイル名の場合もあるみたいだけど間違ってもNTDETECT.comは消しちゃだめだよ!これは本物のwindowsファイルだから!
【対ウイルスソフトの状況(2月1週目時点)】
- Symantec
- McAfee
- NOD32
- このウイルスと対峙していた段階ではこれしか対抗出来る対ウイルスソフトがなかった。30日体験版が今回大活躍した。しかしこれ単体では完全ではなく、すり抜けてるものもある。
【ウイルスの駆除作業】
ここでは手動駆除作業について触れる。まず上のウイルス確認法で触れた作業をしておくことが前提。その上でウイルスが生成したファイルをエクスプローラで削除していくのが基本的なやり方。
ファイルの検索でc:\windows\system32以下の「mmv」を検索(詳細設定オプションで「隠しファイルとフォルダの検索」をチェックしておく)、おそらく「mmvo.exe、mmvo0.dll、mmvo1.dll」辺りがヒットするので全削除。
インターネット一時ファイルにuu.rar、uu.exeがある場合、それらも全削除。
ドライブルートのautorun.inf削除、そして環境によってファイル名が違うかも知れないがうちの場合はpq1o2ga.com、a0fr.bat、lbo0t.cmdなど見慣れないファイルがあったのでこれらを削除した。
また、system32以下にランダムな名前のdllを仕込まれる事があるのでそれも合わせて注意。これは目視で判別付きにくいのでNOD32で駆逐した。
これらの作業をやっておけばほぼ90%駆除完了。
【ウイルス駆除の確認】
再起動してフォルダ内の不可視属性ファイルが見える事を確認した上で、マイコンピュータからCドライブをダブルクリック、そのままのウインドウで開けば一応安心。ダブルクリックしてからやけに時間掛かって、新規ウインドウで開いたりしたら再感染している恐れがある。
【後処理】
感染防止としてautorun.infという名のフォルダをあらかじめ作っておく。不可視属性にしておくといい。ちなみに再感染するとこのフォルダも可視属性に変えられてしまう。凶悪だよなー。
また、このままではmsconfigにmmvoが残っているのでregeditで「mmvo、mmva」検索してそれら全て削除しておけば消せる。また「a0fr」や「detect.com」、「psxcftr.com」検索でヒットするものもautostartみたいなとこに仕込まれていて気持ち悪いので消しておくといいかも。(※あくまでもレジストリ操作は自己責任で!)
ここまでやっても95%の駆除率かなぁ。まだ安心出来ない。
あとは各ワクチンソフトを全スキャン掛けておき、定時スキャンに
c:\windows\system32\
c:\windows\temp\
c:\Documents and Settings\
辺りは確実に巡回させるのが大事。
【USBメモリ内のウイルスの確認法】
PCの駆除が終わったら次は媒介となるUSBメモリのチェック。もちろんUSB接続のHDDやマスストレージメディアも例外ではない。USBメモリのチェックは感染してないPC、もしくはワクチンソフトで十分にウイルス対策されたPCで行う。確認中のファイル操作は必ずエクスプローラ上で行う事。
やる事はPCと同じ。USBメモリをエクスプローラで開いてルートにautorun.inf、pq1o2ga.com、a0fr.bat、lbo0t.cmdらがあったら削除。システムに仕込まれてない分削除は楽。
<追記>
続きとしてa0fr.batウイルス - exも参照。
